НКЦКИ сегодня опубликовала бюллетень об уязвимостях «нулевого дня» в оборудовании Cisco. Хотелось бы отметить, что:
👉 речь идет не обо всем оборудовании, а только о том, которое работает на базе операционных систем IOS и IOS XE и использует уязвимую подсистему работы с протоколом SNMP,
👉 для эксплуатации уязвимости необходимо обладать аутентификационной информацией для работы с SNMP,
👉 в бюллетене говорится об уязвимости "нулевого дня", в то время как Cisco опубликовала свой бюллетень об этой уязвимости еще в 2017-м году (в 2019-м году обновила в последний раз).

Патч для устранения этой уязвимости был выпущен Cisco пять лет назад, а остальные рекомендации по усилению защиты сетевого оборудования Cisco я давал ранее.
Нечто странное на стыке кибернетической и физической безопасности произошло вчера во Франции.

В ночь на 27 апреля, какой-то диверсант (или группа диверсантов) применила популярный в среде тестировщиков физической безопасности инструмент (полагаем, что болторез) к магистральным оптоволоконным кабелям, соединяющим Париж с французским регионом Бургундия—Франш-Конте (в рассылке FRench Network Operators Group поначалу даже написали, что регион полностью отрезан).

Два пострадавших кабеля принадлежали оператору Netalis (их перерезали в 03:20 и 03:40) и ещё один — "иностранному оператору", его перерезали в 05:40.

Все три кабеля перерезаны в кроссовых колодцах (см. иллюстрацию), что наводит на мысли о человеке, хорошо знакомом с местами и технологией их прокладки, а так же с конструкцией запорных устройств, элементы которых просматриваются на фотографиях. Возможно это был сотрудник одного из операторов или, например, подрядчик обслуживающий эту оптику.

Ещё интересна география повреждений. Называют три населённых пункта: Souppes-sur-Loing, Le Coudray-Montceaux и Fresnes-en-Woëvre. И если между двумя первыми точками около 50 километров, то третья отстоит от каждого из них больше, чем на 250.

То есть, если всем этим занимался один человек, он должен был перемещаться, вскрывать и резать довольно быстро. А если действовала группа, то интересно, каковы же цели: особого ущерба диверсия не нанесла, связность была восстановлена сравнительно быстро, а полное устранение повреждений заняло 11 часов.

Весна? Политическая борьба?

Другие кадры повреждений есть тут.
Не заметили - или проявили вежливость? Вчера утром в нашем канале появилось необычное сообщение. Честно - необычное. И реакции не было (почти). Мы чот удивлены.

А времена между тем… более интересные, чем раньше.

И случится может разное. Например вот, начало марта, авторы канала обмениваются скриншотами: «Ты тоже это видишь? У меня в ленте 2/3 каналов взломаны! - У меня меньше, но тоже дофига!»

Идеальный взлом - все пользовались ботом, изначально имевшим доступ к постингу в каналы для того, чтобы помогать администраторам писать отложенные сообщения. Удобная же штука, а кто её сделал, знать необязательно. Как необязательно знать, кто делает Google Docs, Azure, AWS и т.п.

Ещё вчера - мы считали, что кто-то неизвестный, предоставляя нам услугу (часто - бесплатно), не имеет на нашу информацию корыстных видов. Корпорации добра, вот это всё.

Но времена, похоже, изменились и пора думать над тем, чтобы переносить в контролируемую зону всё больше сервисов. Дорого, неудобно, больно, зато никто другой не запостит в ваш канал гифку. Только вы сами — незаблокированным телефоном в кармане.

Кстати, вчера именно так и произошло.
Тем временем, бывший сотрудник ЦРУ Джошуа Шульте признан виновным в самой крупной (пока) утечке киберинструментов ЦРУ, известной, как Vault7.

Напомним, что в этой истории есть две плоскости — личностная и организационная.

Личностная — это ссора между самим Шульте и оппонентом, проходившим на суде, как Амол, с которым они обменялись оскорблениями, касающимися внешнего вида (Шульте — лысый, а оппонент — жирный), что, судя по заявлению прокурора и стало причиной затаённой обиды Шульте на организацию.

Организационная — это масштабные проблемы с защитой собственной информации, описанные в этом отчёте. Все сотрудники подразделения "специальных информационных операций" имели административные доступы ко всей внутренней инфраструктуре. Если кто-то потерял свой пароль, во внутреннем чате можно было найти пароль от root (на процессе выяснилось, что пароль от рута на виртуалке с Confluence, которую и скачал себе Шульте — 123ABCdef, а от контроллера домена сети DEVLan — mysweetsummer). Вменяемого логирования там тоже не было, как и мониторинга, поэтому об утечке там узнали спустя год из публикации на Wikileaks. Да и доказать причастность самого Шульте, хотя подозревали его с самого начала, удалось, насколько можно судить, довольно случайно.

Поясняя следователям ситуацию (отчёт), руководство подразделения заявило, что всегда стремилось к преобладанию "культуры творчества" над ограничительными мерами, даже минимально соответствующими статусу организации, где они все работали.

В финальном слове прокурора, если опустить словесную шелуху и характерный для американского правосудия пафос, можно найти довольно много интересных подробностей про "культуру творчества", например, как три администратора закрывали для Шульте доступы к серверам, но пропустили его ssh-ключ и т.п.

Так или иначе, "виновный" найден и будет примерно наказан, а допустившее "культуру творчества" руководство подразделения, судя по всему, дало исчерпывающие объяснения следствию и продолжит творить на тех же должностях.
Куда вы первым делом смотрите на скриншотах?

Отсюда.
Наша демо-версия попала в некий каталог бесплатных курсов на хабре в раздел "тренажеры".

Во-первых, если вы её (демо-версию) ещё не видели, регистрация тут.

Во-вторых, напоминаем, что это только демо-версия того, что можно сделать для вашей организации, чтобы обучать персонал безопасному поведению.
Редко про какой фишинг хочется сказать, что это гениально.
Когда-нибудь будет открыт Музей телефонного мошенничества, и на экскурсии академичный кибер-экскурсовод будет рассказывать что-то в духе: "Смотрите, дети, мы покажем вам всю эволюцию кибер-мошенников. Это один из законов нашей жизни: как только появляется некая техническая возможность, тут же появляются мошенники, которые хотят на этом паразитировать.

Как только появилась"служба безопасности Сбербанка" и возможность общаться с ней с мобильного, фейковая "служба безопасности" стала названивать доверчивым гражданам. Этот бизнес стал настолько популярным, что постепенно дискредитировал себя и само выражение "служба безопасности сбербанка" стало мемом. Но мошенников это не смущает. Они постоянно эволюционируют! Так стали появляться звонки от других банков, а когда на мобильных телефонах появились фильтры спам-звонков, они перешли в мессенджеры.

Надо отметить, что есть некая градация. Самые непрофессиональные социнженеры "работают" в "сбере", рангом повыше - в "втб", иногда попадаются и "специалисты" из альфы. Ну, понимаете, дети, в те далекие времена еще случались колоссальные утечки данных клиентов, поэтому не пользоваться этим было совершенно невозможно...

К счастью, в нашем прекрасном настоящем все данные настолько хорошо защищены, а сотрудники из плоти и крови давно отправлены в отставку и отправились после очередной смены тел на переквалификацию, такие ситуации кажутся дикостью..."

#заметкиизбудущего
Друзья, а расскажите, какие у вас были кулстори со "службой безопасности"? Разговариваете ли вы с ними? Мы — да, а как иначе наблюдать эволюцию?
Бонус-контент от наших читателей.

"Центральная аппаратная часть банка" — это, интересно, датацентр или электрощитовая с насосной?
Если вы увлекаетесь криптографией, наверняка вы читали исторический труд Дэвида Кана "The Codebreackers". Все, кто увлекается криптографией его читали. Вообще все.

(РГАНИ, ф. 5, оп. 60, д. 246)
Последние пару дней наблюдаем волну угонов телеграм-аккаунтов, причём некоторые случаи выглядят поначалу целевой атакой на организации.

Впрочем, потом с угнанных аккаунтов начинают выпрашивать деньги и рассылать политические лозунги.

Удивительно то, что эта волна, как и несколько прошлых, реализована при помощи простенького сайта, якобы предлагающего проголосовать за вашего знакомого в каком-то неизвестном конкурсе. Казалось бы, на предложение ввести куда попало код авторизации от Телеграма не должны вестись уже даже самые далёкие от технологии люди... А вот — работает.

Вся бесхитростность этой атаки на скриншоте. Просто вводите присланный вам код через десять секунд. Ещё про эти интересные конкурсы можно почитать, например, здесь.
Один "современный облачный провайдер" столкнулся с обиженными сотрудниками. Вот что они сами пишут про это у себя в телеграме:

Ряд сотрудников, воспользовавшись своими полномочиями вывели из строя ряд локаций. Вредители уже выявлены, которые работали против нас, а наши старшие инженеры, вместе с вышестоящими сотрудниками и руководством хостинга, делают всё возможное, чтобы вернуть сеть недоступных локаций в рабочий режим. (орфография и стилистика оригинала сохранена)

Переводя с корявого корпоративного на русский: не работает почти ничего уже много часов. Оставляя в стороне вопросы разграничения доступов, правильного увольнения потенциальных инсайдеров и аккуратной работы с персоналом, наличия планов восстановления после сбоя, скажем, что злоумышленники нанесли ущерб не столько своему бывшему работодателю, сколько огромному количеству совершенно посторонних людей.

Понять это невозможно, но наверное, мы просто не умеем думать, как обиженный бегемот из анекдота.

Сидят два бегемота на берегу Нила,вяжут шапочки.К ним подходит крокодил и спрашивает:
— Бегемоты, вы не в курсе, здесь какое дно,каменистое или илистое?
Первый отвечает:
— Илистое.
Крокодил прыгает и разбивает себе голову о каменистое дно.
Второй спрашивает:
— Ты зачем ему сказал, что здесь дно илистое?
— А зачем ты мне вчера шапочку распустил?
🛴 В Москве на электросамокаты начали клеить фальшивые QR-коды, чтобы своровать данные карты

Будьте аккуратны. Лучше сканировать код самоката через камеру приложения, а не просто через камеру.
^^ в коллекцию фишинга, который из вашего монитора вылезает в реальный мир.
Если вы ещё не знакомы со сравнительно новой модой в области социнженерии среднего уровня технологичности, то знакомьтесь, вам обязательно пригодится, ибо за последние несколько месяцев мы видели это в университетах, госкорпорациях и крупных акционерных обществах. И нет никаких оснований полагать, что завтра это не случится с вами.

Сценарий таков: сотруднику организации демократичненько пишет в мессенджере аккаунт с именем и аватаркой главного начальника (в примере выше — ректора МИФИ), называет по имени-отчеству и сообщает, что сейчас с по телефону будет звонить куратор от спецслужб. После такого размягчения восприятия, сценарий стандартный: идите к банкомату, переведите куда-нибудь деньги.

Методы борьбы — тоже стандартные. Донесение до сотрудников, что о любом "звонке от куратора" сообщать будет непосредственный начальник, либо люди, специально для этого выделенные. И не в мессенджере, а более подходящими путями. А уж если руководитель имеет привычку писать рядовым сотрудникам, то аккаунт, с которого он это делает, должен быть проверяемым.
This media is not supported in your browser
VIEW IN TELEGRAM
Не можем пройти мимо истории про три миллиона зубных щёток, якобы составлявших ботнет. "Якобы" - потому, что ссылаются все на одну довольно мутную статью за пэйволлом в которой нет подробностей ни про производителя щёток, ни про жертву и вообще всё выглядит кликбейтненько.

Так или иначе, в интернет уже сейчас торчат миллионы чайников, холодильников и собачьих ошейников, которые подключаются к каким-то сомнительной надёжности облакам производителя, благодаря чему злоумышленник обычно может миновать ваш роутер и оказаться прямо внутри квартиры и в лучшем случае DDOSить швейцарскую компанию, а в худшем - послеживать за вашим бытом и привычками, сами угадайте для чего.

UPD: говорят не было никаких миллионов зубных щёток. Авторы статьи пошли на попятную и говорят, что это была гипотетическая история. Ну как мы и предположили.
CVE-2024-3094 — это всё, как мы тут любим.

Во первых, если вы используете любой современный дистрибутив linux,, срочно убедитесь, что вас эта уязвимость не касается, то бишь xz/liblzma у вас ДО версии 5.6.0.

Во вторых, какая история. Формат xz, использующий алгоритм сжатия LZMA2, был придуман в 2007 году восторженным шифропанком по имени Лассе Коллин. Вообще, он там собирался делать дистрибутив Linux на основе Slackware, помещающийся на один компакт-диск, но, насколько можно судить, до этого дело не дошло. А вот xz пошел в массы и поддерживался Лассе примерно до 2022 года.

То ли по причине своей эмоциональной нестабильности, то ли ещё по каким соображениям, в 2022 году, Лассе был взят в оборот какой-то трёхбуквенной (или, скорее, трёхиегроглифовой) организацией и при помощи нехитрых (но для жертвы весьма неприятных) психологичеких трюков принуждён к передаче проекта неким виртуальным личностям.

Личности эти потом проделали довольно большую и сложную работу, чтобы добавить в xz этот самый бэкдор и хорошо его спрятать. При этом, они старательно работали над самим проектом. Вот, например, они благодарят шведских переводчиков за перевод XZ Utils на шведский.

Отдельно смешно то, что код эксплойта был внедрён в систему сборки проекта через подсистему тестирования. Но Лассе не использовал автоматизированных тестов и всё тестировал на глазок. То есть, злоумышленники написали все тесты сами. С нуля.

Во всём этом есть хорошие новости и есть плохие.

Из хороших: в популярных опенсорс продуктах спрятать бэкдор, даже если ты талантливый маскировщик, не так просто, Впрочем, открытость кода сыграла в расследовании не главную роль. Как мы увидим по ссылкам ниже, всё началось с того, что сотрудник Microsoft Андрес Френд обратил внимание на странное поведение ssh на своих машинах и только потом полез в код разбираться. Причём, получается, что он за несколько часов сломал злоумышленникам почти двухлетнюю работу: широко распространить уязвимую версию им не удалось.

Из плохих новостей всё остальное. Мы без понятия, в скольких ещё проектах эти ребята выступают мэйнтейнерами под другими ничего не означающими именами. Далеко не каждым софтом пользуются въедливые исследователи.

Ну и оказывается, мозг разработчика может быть уязвим ничуть не меньше, чем его код.

Литература:

https://www.opennet.ru/opennews/art.shtml?num=60880 — последовательность событий, приведших к образованию бэкдора
https://mastodon.social/@AndresFreundTec/112180406142695845 — Андрес Френд рассказывает, как он обратил внимание на странности с ssh
https://news.ycombinator.com/item?id=39866275 — ещё одна история про то, как новые мэйнтейнеры xz применяют манипулятивные техники для распространения правильной забэкдоренной версии.
2024/05/02 15:42:55
Back to Top
HTML Embed Code: